home טכנולוגיה אבטחה תעשייתית אבטחת הסייבר של רחפני DJI – בסימן שאלה

אבטחת הסייבר של רחפני DJI – בסימן שאלה

Jul 27, 2020

This post is also available in: English (אנגלית)

אפליקציית אנדרואיד שמפעילה רחפן של חברת DJI הסינית נגועה בחולשות אבטחת סייבר, ועלולה לסייע לממשלת סין לגנוב כמויות גדולות של מידע. יחד עם זאת, עד עכשיו אין הוכחה לכך שאכן נעשה שימוש כזה באפליקציה או נמסר מידע לבייג'ין.

החולשות באפליקציה עלולות לאפשר ל-DJI, יצרנית הרחפנים הגדולה בעולם, או למישהו עם גישה למערכות המחשוב שלה, לגנוב מידע ממיקרופונים, מצלמות, אנשי קשר ואפילו מיקומים של מאות אלפי בעלי רחפנים ברחבי העולם, כך גילו שתי חברות אבטחת הסייבר Grimm ו-Synacktiv, באופן עצמאי.

לאחר ביצוע הנדסה הפוכה באפליקציית DJI Go 4, מצאו חברות האבטחה שבמקרה הטוב, התוכנה מפירה את מדיניות ה-Play Store של גוגל, ובמקרה הגרוע – היא היתה יכולה לשמש לריגול אחרי המשתמשים, כך מדווח androidauthority.com.

הפיצ'ר קיים רק באפליקציות אנדרואיד לצרכנים, ולא בגרסה לחברות וסוכנויות ממשל. היא גם לא קיימת בגרסת האפלקציה לאייפון.

דווח כי חברת DJI תוכל גם לשלוח עדכונים אוטומטיים לאפליקציה בלי שגוגל או בעלי הרחפנים יסכימו לכך או ידעו שהאפליקציה עודכנה, כך מצאו החוקרים. תיאורטית, פונקציית העדכון עלולה לשמש להטענת מכשירי הטלפון בתוכנה מזיקה שתשגר כמויות של נתונים לסין, הם טוענים, לפי washingtonpost.com.

ההתראה מגיעה כאשר DJI כבר נמצאת תחת התקפה על ידי גורמים רשמיים וכאלה שמייצגים עמדה נצית בארה"ב. הפנטגון כבר החרים את רחפני החברה ב-2017 על רקע חשש לריגול, ומחלקת הפנים קרקעה את הצי שלה שכולל 800 רחפני DJI בינואר. המחוקקים בארה"ב מעוניינים להחרים את הרחפנים של החברה גם בכל מגזרי הממשל הפדראלי, המדינתי והמקומי.

דובר של DJI מסר לניו יורק טיימס שפיצ'ר העדכון האוטומטי קיים כדי שמטיסי רחפנים חובבים לא יפרצו למערכת ויפרו חוקי ממשל לגבי המקום והגובה בהם מותר להם להטיס את הרחפנים.

ההאשמות מגיעות על רקע הטענה שחברות סיניות הן למעשה זרוע של הממשל, ולא יהיו מסוגלות לסרב לפקודה מבייג'ין למסור נתונים רגישים.

המחלקה האמריקאית לביטחון המולדת והסוכנות לביטחון לאומי פרסמו אזהרה משותפת, לפיה גורמים עוינים מעוניינים לתקוף את הרכיבים המחוברים בתעשיות קריטיות כגון מפעלי אנרגיה ומתקנים ביטחוניים. ההודעה הציעה תעשיות מחוברות קריטיות ונכסי מערכות בקרה יהיו מודעים לאיומים, יתנו עדיפות ראשונה להערכת הגנות הסייבר שלהן וינקטו בצעדים המתאימים כדי לאבטח את מערכותיהם.